• 日立ソフトウェアエンジニアリング株式会社
  「情報セキュリティ関連の調査・開発に関する公募」において採択。

背景

近年、電子政府の計画において、各省庁のWebサーバー上に、電子申請、電子入札等の、アプリケーション・システムが構築されつつある。さらに今後は、電子投票、電子確定申告、電子公証等のシステムが構築されることになると考えられる。一方、しばしば各省庁の情報システムにおいて、ホームページが書き換えられる等のセキュリティ脆弱性が報道されているところである。そこで、e-Japan 2002 計画における電子政府、特に中央省庁における情報セキュリティの実効性を検証・確保するために、それらの情報セキュリティの状況を客観的に検証する仕組みが求められている。一般的に、企業等、組織体の情報システムのセキュリティについては、情報セキュリティ監査を実施することが望ましいとされている。しかし、中央省庁に置いて、情報セキュリティ監査を実施するには、以下のような困難な問題が存在する。

目的

e-Japan 2002 計画では、政府部内の情報セキュリティ対策として、2003年度までに情報セキュリティポリシーの評価・見直しの実施等により十分なセキュリティ水準を確保することになっている。その中で、評価・見直しには最近の電子政府評価・助言会議でもアウトソーシング、ブリッジ認証、省庁認証局、個人情報保護に関する監査や監査要員育成制度が議論されている。また、政府情報セキュリティ対策推進会議による電子政府の情報セキュリティ確保のためのアクションプランの中で、情報セキュリティポリシーの実効性確保のため、情報セキュリティ監査基準の提示が要求されている。

本プロジェクトでは、この情報セキュリティ監査基準となる文書のあり方について調査することを目的とする。

• 電子政府における情報セキュリティ監査に関する調査報告書 （1,221 KB）
• 電子政府における情報セキュリティ監査に関するセルフチェックリスト （準備中）